覚書 22-09 の認可要件を満たす
この記事シリーズでは、ゼロ トラストの原則を実装する際の一元化された ID 管理システムとして Microsoft Entra ID を採用するためのガイダンスを示しています。 米国行政管理予算局 (OMB) による省および機関の長宛ての M 22-09 覚書を参照してください。
覚書の要件は、多要素認証ポリシーの適用の種類と、デバイス、ロール、属性、および特権アクセス管理の制御です。
デバイスベースの制御
覚書 22-09 の要件は、システムまたはアプリケーションにアクセスするための認可決定用の少なくとも 1 つのデバイス ベースのシグナルです。 この要件は、条件付きアクセスを使用して適用します。 認可中に複数のデバイス信号を適用してください。 シグナルと、そのシグナルを取得するための要件については、次の表を参照してください。
| Signal | シグナルの取得 |
|---|---|
| デバイスが管理されている | Intune または統合をサポートする別のモバイル デバイス管理 (MDM) ソリューションとの統合。 |
| Microsoft Entra ハイブリッド参加済み | Active Directory でデバイスが管理され、これは適格です。 |
| デバイスが準拠している | Intune または統合をサポートする別の MDM ソリューションとの統合。 Microsoft Intune でのコンプライアンス ポリシーの作成に関する記事を参照してください。 |
| 脅威シグナル | Microsoft Defender for Endpoint や他のエンドポイントでの検出と対応 (EDR) ツールには、Microsoft Entra ID と Intune の統合が含まれています。これにより、アクセスを拒否するために脅威シグナルが送信されます。 脅威シグナルでは、準拠状態シグナルがサポートされています。 |
| テナント間アクセス ポリシー (パブリック プレビュー) | 他の組織のデバイスからのデバイス信号を信頼します。 |
ロールベースの制御
ロールベースのアクセス制御 (RBAC) を使用して、特定のスコープでのロールの割り当てを通じて認可を適用します。 たとえば、アクセス パッケージやアクセス レビューなどのエンタイトルメント管理機能を使用して、アクセスを割り当てます。 セルフサービス要求を使用して認可を管理し、自動化を使用してライフサイクルを管理します。 たとえば、条件に基づいてアクセスを自動的に終了します。
詳細情報:
属性ベースの制御
属性ベースのアクセス制御 (ABAC) では、ユーザーまたはリソースに割り当てられたメタデータを使用して、認証時にアクセスを許可または拒否します。 認証を通じてデータおよびリソースに対する ABAC の適用を使用して認証を作成するには、以降のセクションを参照してください。
ユーザーに割り当てられた属性
Microsoft Entra ID に格納されている、ユーザーに割り当てられた属性を使用して、ユーザーの認可を作成します。 グループの作成中に定義するルール セットに基づいて、ユーザーは動的メンバーシップ グループに自動的に割り当てられます。 ルールでは、ユーザーおよびその属性に対するルールの評価に基づき、グループに対してユーザーの追加または削除を行います。 属性を保守し、作成時に静的属性を設定しないことをお勧めします。
詳細情報: Microsoft Entra ID で動的グループを作成または更新する
データに割り当てられた属性
Microsoft Entra ID を使用すると、認可をデータに統合できます。 認可を統合するには、以降のセクションを参照してください。 認証は、条件付きアクセス ポリシーで構成できます。ユーザーがアプリケーション内で、またはデータに対して実行するアクションを制限してください。 これらの認証ポリシーはその後、データ ソースにマップされます。
データ ソースは、Word や Excel などの Microsoft Office ファイル、または認証にマップされた SharePoint サイトにすることができます。 アプリケーション内のデータに割り当てられた認証を使用してください。 この方法では、アプリケーション コードとの統合と、開発者がこの機能を採用することが必要です。 Microsoft Defender for Cloud Apps との認証統合を使用して、セッション制御によりデータに対して実行されるアクションを制御します。
データとユーザー属性の間のユーザー アクセス マッピングを制御するには、動的メンバーシップ グループと認証コンテキストを組み合わせます。
詳細情報:
リソースに割り当てられた属性
Azure には、ストレージ用の属性ベースのアクセス制御 (Azure ABAC) が含まれています。 Azure Blob Storage アカウントに保存されているデータに対してメタデータ タグを割り当てます。 このメタデータをユーザーに割り当てるには、ロールの割り当てを使用してアクセス権を付与します。
詳細情報: Azure の属性ベースのアクセス制御 (Azure ABAC) とは
特権アクセス管理
この覚書では、特権アクセス管理ツールと単一要素の一時的な資格情報を使用してシステムにアクセスする非効率性について言及しています。 これらのテクノロジには、管理者の多要素認証サインインを受け入れるパスワード コンテナーが含まれます。これらのツールにより、代替アカウントがシステムにアクセスするためのパスワードが生成されます。 システム アクセスは、単一要素で行われます。
Microsoft のツールは、中央 ID 管理システムとしての Microsoft Entra ID と合わせて、特権システム用に Privileged Identity Management (PIM) を実現します。 アプリケーション、インフラストラクチャ要素、またはデバイスであるほとんどの特権システムに対して多要素認証を適用してください。
Microsoft Entra の ID で実装されている特権ロールには、PIM を使用します。 横移動を防ぐために保護を必要とする特権システムを特定してください。
詳細情報: